Инструкция предназначена для самостоятельной настройки роутера MikroTik. В качестве примера будет использоваться роутер MikroTik hAP ac lite(RB952Ui-5ac2nD), который будет настроен для работы интернета и использования локальных сетей Ethernet и WiFi(включая Apple Iphone).
Инструкция состоит из двух больших примеров: “Быстрая настройка” и ‘Ручная настройка“, задача которых состоит в демонстрации двух методов настроек: с помощью внутреннего мастера настроек Quick Set и распределённая настройка посредством Winbox или Webfig.
Оборудование MikroTik использует операционную систему RouterOS, которая содержит все необходимые функции — маршрутизация, firewall, управление полосой пропускания, управление точкой беспроводного доступа, бесшовный WiFi CAPsMAN, Hotspot, VPN сервер и многое другое. Стоит отметить то, что RoutesOS настраивается на любом оборудовании MikroTik одинаково. Это свойство универсальности позволяет применять любые настройки из раздела Инструкций на любом оборудовании MikroTik.
Пример №1. Быстрая настройка MikroTik
Данный пример настройки роутера MikroTik самый простой и не требует детального изучения принципов работы MikroTik. Его можно применять с использованием ПК или ноутбука, а также мобильного телефона.
Исходные настройки роутера MikroTik должны соответствовать заводским, если по какой причине это не так, следует их сбросить через кнопку Reset.
Сброс через кнопку RESET
На задней панели расположена кнопка RESET
Необходимо последовательно совершить действия:
После процедуры аппаратного сброса до заводских настроек Reset устройство будет перезагружено, а конфигурация будет соответствовать конфигурации оборудованию “с коробки”. Этот метод сброса настроек можно использовать на любом оборудовании MikroTik: роутере, коммутаторе, точке доступа WiFi. Расширенные примеры по сбросу находятся в инструкции Сброс настроек в MikroTik, заводские настройки через Reset →
Подключение роутера MikroTik по кабелю
Для настройки роутера MikroTik потребуется два патч-корда RJ-45. Это стандартный сетевой кабель для подключения Ethernet устройств.
Со стороны компьютера(ноутбука) предполагается, что сетевая карта настроена на автоматическое получение IP адреса(DHCP), если это не так, необходимо обновить этот параметр.
На примере ОС Windows нужно открыть раздел Панель управления\Сеть и Интернет\Сетевые подключения
и в свойствах сетевого адаптера
установить “Получить IP-адрес автоматически”.
После изменений настроек сетевой карты нужно сохранить все изменения.
Подключение роутера MikroTik по WiFi
Подключение к роутеру MikroTik через WiFi может стать актуальным, если у ноутбука нет Ethernet порта или настройка роутера производится через смартфон. В списке доступных WiFi подключений должен отображаться роутер MikroTik, по аналогии как на примере ниже.
Если на новом роутере MikroTik по умолчанию установлен заводской пароль на WiFi, его можно найти на наклейке, которая располагается на корпусе роутера.
Вход в настройки роутера MikroTik
Для входа в настройки MikroTik можно воспользоваться любым web браузером.
- 192.168.88.1 – IP адрес MikroTik по умолчанию.
На новых роутерах MikroTik пароль часто располагается на наклейке, которая по заводу присутствует на корпусе устройства.
Настройка MikroTik с помощью Quick Set
Quick Set это мастер быстрых настроек, который содержит оптимизированные шаблоны уже готовых конфигураций, достаточно только их заполнить пользовательскими данными. В рамках данной настройки будет выбран шаблон Home AP Dual.
Обновление прошивки
- long term – самая стабильная версия. Рекомендовано для производственных сред!
- stable – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.
Если на роутере прошивка RouterOS v7, то необходимо выбрать Channel = stable. А далее роутер MikroTik будет перезагружен и после будет доступен по прежнему адресу “192.168.88.1“.
Настройка MikroTik WiFi
- Frequency = auto – частота для 2.4ГГц и 5Ггц будет выбираться автоматически. Это оптимальный вариант для применения без изучения частотных каналов;
- Country = no_country_set – WiFi модули MikroTik не будут использовать ни каких ограничений по выбору частоты, а также мощности сигнала. Это важно применять в тех средах, где уровень сигнала слабый.
Настройка интернета, автоматические настройки
Значение IP Address будет присвоено роутеру MikroTik интернет провайдером автоматически.
Настройка интернета, статический IP адрес
Все заполняемые параметры статического IP адреса выдаются интернет провайдером, как правило дополнительной(платной) опцией.
Настройка интернета, PPPoE
Настройка локальной сети
Пример №2. Ручная настройка MikroTik
Подключение роутера MikroTik к компьютеру
Предварительно стоит отметить, что у роутера MikroTik в качестве порта WAN может выступать любой порт. Однако в заводской прошивке, в качестве WAN порта выступает ether1, на котором активен dhcp client. Эту особенность заводской прошивки стоит учитывать при подключении к роутеру MikroTik, т.к. конфигурация определена так, что все входящие подключения на ether1 будут недоступны. Из этого следует то, что при первичной настройке роутера MikroTik, патч корд нужно подключить в любой порт кроме ether1.
Вход в настройки MikroTik RouterOS
Для настройки роутера MikroTik лучше всего воспользоваться утилитой Winbox, которая специально разработана для управления оборудованием MikroTik.
Winbox обнаружит устройство независимо от назначенного ему адреса. Чаще всего это 192.168.88.1, но и встречаются варианты когда ip адрес = «0.0.0.0». В этом случае подключение происходит по MAC адресу устройства. Кроме этого Winbox отображается все найденные устройства MikroTik в сети, а также дополнительную информацию(версия прошивки, UpTime):
Учётная запись(пароль) по умолчанию:
- пользователь = «admin»
- пароль = «»(пустой)
Новая линейка роутеров MikroTik в заводской конфигурации уже имеет предустановленный пароль, значение которого можно увидеть на наклейке, на одной из сторон роутера.
Сброс роутера MikroTik
Т.к. ручная настройка предполагает полную настройку роутера MikroTik с нуля, при первом подключении необходимо полностью удалить заводскую настройку. После нажатия кнопки Remove Configuration роутер будет перезагружен, а его настройки удалены.
Если по какой-то причине роутер MikroTik не вывел форму сброса, это можно сделать в ручном режиме.
Reset через Winbox
Настройка находится в System→Reset Configuration
No Default Configuration все настройки роутера MikroTik будут сброшены. Конфигурация будет пустой.
/system reset-configuration no-defaults=yes skip-backup=yes
Сброс роутера MikroTik будет сопровождаться перезагрузкой устройства, после которой можно повторно подключиться к роутеру только через MAC адрес.
Ошибки при подключении к Winbox
ERROR: router does not support secure connection, please enable legacy mode if you want to connect anyway
Решение: необходимо активировать режим Legacy Mode.
ERROR: wrong username or passwords
Решение-1: Недопустимые учётные данные(неверное имя пользователя или пароль). За доступом нужно обратиться к администратору устройства или сделать сброс к заводским настройкам →.
Решение-2: Обновить версию Winbox.
ERROR: could not connect to MikroTik-Ip-Address
Решение: Проблема связана с доступом, частые причины:
- Подключение закрыто через Firewall;
- Изменён порт управления через Winbox с 8291 на другой;
- Подключение происходит через WAN порт, интернет провайдер которого блокирует подобные соединения;
Установить пароль на роутер MikroTik
Первым важным делом настройки нового роутера MikroTik это обновление пароля администратора. Случаи бывали разные, это пункт просто нужно выполнить.
Настройка находится в System→Users
добавление нового пользователя с полными правами:
/user add name="admin-2" password="PASSWORD" group=full
деактивация старого пользователя:
/user set [find name="admin"] disable="yes"
Обновление прошивки в MikroTik RouterOS
Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с “back door” в категории long-term указал на то, что актуальность прошивки в устройствах MikroTik имеет критический характер.
Настройка находится в System→Packages
Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку роутера MikroTik. Установка будет произведена в момент загрузки. Не выключайте роутер MikroTik до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.
Редакции прошивок MikroTik
- long term(bug fix only) – самая стабильная версия. Рекомендовано для производственных сред!
- stable(current) – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.
Другие редакции не рекомендуется устанавливать в рабочие устройства MikroTik, т.к. это может привести к нежелательным последствиям.
Важным дополнением в обновлении прошивки является обновление Current Firmware – это аппаратная прошивка, аналог BIOS в компьютере.
Настройка находится тут System→Routerboard
Изменения вступят в силу после перезагрузки устройства MikroTik(System→Reboot).
Настройка локальной сети MikroTik LAN
В основе работы локальной сети (LAN) на роутере MikroTik находится Bridge – программное объединение портов в свитч. В состав Bridge может входить любая последовательность портов роутера MikroTik, а если туда добавить все порты – роутер станет точкой доступа WiFi или коммутатором.
Стоит учитывать, что такое объединение управляется CPU. Этот факт важен при значительных нагрузках на CPU.
Настройка LAN на роутере MikroTik состоит из следующих ключевых этапов:
- Объединение все локальных портов в Bridge;
- Настройка локального IP адреса для роутера MikroTik;
- Настройка DHCP сервера.
Настройка MikroTik Bridge
Настройка находится в основном меню Bridge→Bridge
Копирование значения MAC Address в Admin MAC Address поможет исключить ошибку:
ether3:bridge port received packet with own address as source address (MAC ether3), probably loop”
/interface bridge add admin-mac=74:4D:28:68:FE:3C auto-mac=no name=bridge1
Добавление портов MikroTik в Bridge
Настройка находится в основном меню Bridge→Ports
/interface bridge port add bridge=bridge1 hw=yes interface=ether2 /interface bridge port add bridge=bridge1 hw=yes interface=ether3 /interface bridge port add bridge=bridge1 hw=yes interface=ether4 /interface bridge port add bridge=bridge1 hw=yes interface=ether5 /interface bridge port add bridge=bridge1 interface=wlan1 /interface bridge port add bridge=bridge1 interface=wlan2
Hardware Offload — аппаратная поддержка bridge отдельным чипом. Список поддерживаемых устройств.
По итогам, закладка Bridge→Ports должна иметь вид:
Создать Interface List LAN
Группировка интерфейсов по направлению, помогает описывать настройки более общими правилами. Это достаточно удобно, когда два и более интерфейса являются LAN или WAN и для них нужно применить одинаковые правила Firewall, NAT.
Наименование Interfaces List можно задавать произвольное, оно не влияет и не пересекается ни с каким настройками. Обычно:
- LAN – локальная сеть;
- WAN – интернет интерфейс.
Настройка находится в Interfaces→Interfaces List→List
Добавить Bridge в Interface List LAN
Настройка находится в Interfaces→Interfaces List
Таким образом в Interfaces List был добавлен bridge1 и если в каких-то настройка роутера MikroTik указать Interfaces List = LAN, то будут использовать все интерфейсы, которые в него добавлены. В данном случае это bridge1.
Назначение локального IP адреса
После добавления портов в Bridge нужно назначить статический IP адрес и правильней всего это указать в качестве интерфейса созданный bridge1. С этого момента любая настройка адресации или маршрутизации в роутере MikroTik будет осуществляться через bridge1.
Настройка находится в IP→Addresses
При заполнение IP адреса важно указать маску подсети. Это частая опечатка может произвести к отсутствию отклика от роутера MikroTik. При этом значение Network заполнится автоматически.
Установка IP адреса на выбранный интерфейс
/ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
Настройка DCHP сервера в MikroTik
DHCP сервер занимается выдачей IP адресов всем устройствам, которые отправляют соответствующий запрос. Это незаменимая опция при настройке WiFi на роутере MikroTik, но и также облегчает обслуживание локальной сети в этом вопросе.
Настройка будет состоять из 3-ёх пунктов:
Определение диапазона назначаемых IP адресов
Настройка находится в IP→Pool
Диапазон Addresses содержит IP адреса для всех клиентов роутера MikroTik и часто принимает значение или как показано на изображении или 192.168.0.100-192.168.0.254. Это даст возможность указывать статические IP адреса для: сервера, принтера, видеорегистратора, IP камеры и тд.
/ip pool add name=pool-1 ranges=192.168.0.2-192.168.0.254
Задание сетевых настроек для клиента
Настройка находится в IP→DHCP Server→Networks
- Netmask = 24 – это эквивалент привычному значению 255.255.255.0;
- Gateway – шлюз по умолчанию(роутер MikroTik);
- DNS Servers – DNS сервер, который будет выдан клиенту. В данном случае это также роутер MikroTik.
/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
Общие настройки MikroTik DCHP сервера
Настройка находится в IP→DHCP Server→DHCP
- Lease Time – время аренды IP адреса. По умолчанию время аренды IP адреса составляет или 10 или 30 минут, это может влить на работу смартфонов(Android и Iphone), которые в режиме сна могут повторно не отправить DHCP запрос. Такая ситуация может спровоцировать отключения устройства от WiFi и исправится только при повторном подключении;
- Add ARP For Leases — добавляет MAC адрес устройства в таблицу ARP, которому был выдан IP адрес. Можно использовать в качестве блокировки статических IP. Без присутствия соответствующего MAC в таблице ARP пакеты с данного устройства не будут обрабатываться.
/ip dhcp-server add address-pool=pool-1 disabled=no interface=bridge1 lease-time=8h name=DHCP-Server
DHCP сервер будет работает на всех портах bridge таких как Ethernet и WiFi.
Настройка MikroTik DNS
В рамках данной инструкции по настройке роутера MikroTik будет рассмотрена конфигурация, когда сам роутер выступает в качестве DNS сервера. Это имеет несколько преимуществ:
- DNS записи кэшируются на локальный роутер MikroTik, доступ к которому в разы быстрее чем к DNS серверу провайдера;
- Если к роутеру подключено 2 провайдера, не будет возникать конфликтов по доступу к DNS серверам 1-ого или 2-ого провайдера. DNS сервер один – роутер MikroTik.
Настройка находится в IP→DNS
Для такой конфигурации DNS сервера нужно:
DNS сервера Google
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
ИЛИ
DNS сервера Cloudflare
/ip dns set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
Использование общедоступных DNS серверов достаточно популярная опция в ситуациях, когда провайдер блокирует какие-то сайты по DNS. В данном случае Google и Cloudflare DNS являются лидерами в аналогичных решениях, предоставляя безотказный доступ к своим DNS серверам.
Настройка Интернета на роутере MikroTik
Для настройки интернета на роутере MikroTik нужно совершить два действия:
- определить тип подключения на определенном порту(куда вставлен провайдер);
- активировать функцию NAT (masquerade).
Настройка DHCP client в MikroTik
Это самый распространённый тип подключения интернета на роутерах MikroTik. На указанный порт(ether1) будут приходить настройки от интернет провайдера. DHCP клиент не только облегчает настройку интернета, но и служит индикатором, когда услуга отсутствует на линии(не работает интернет), но и также позволяется добавить скрипт, который будет выполняться при изменении значения Status.
Настройка находится в IP→DHCP Client
- Use Peer DNS – использовать DNS сервера интернет провайдера. Они будут автоматически добавлены на роутер MikroTik в раздел IP→DNS;
- Use Peer NTP – использовать сервер времени, который может передать интернет провайдер, вместе с автоматическими настройками интернета.
/ip dhcp-client add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ether1
Опцией Add Default Route можно манипулировать, но выключенное состояние потребует ручного добавления маршрута. Это может стать полезным при использовании балансировки между несколькими линиями интернета.
Настройка статического IP в MikroTik
Настройка статического IP адреса в роутере MikroTik ни чем не отличается от аналогичной настройки любого сетевого устройства и состоит из трех разделов:
- Настройка IP адреса на интерфейсе;
- Добавление DNS серверов;
- Создание статического маршрута.
Установка IP адреса на выбранный интерфейс
Настройка находится в IP→Addresses
Популярные маски подсети:
- IP-Address/31 – 255.255.255.254
- IP-Address/30 – 255.255.255.252
- IP-Address/29 – 255.255.255.248
- IP-Address/28 – 255.255.255.240
- IP-Address/27 – 255.255.255.224
- IP-Address/26 – 255.255.255.192
- IP-Address/25 – 255.255.255.128
- IP-Address/24 – 255.255.255.0
/ip address add address=81.21.12.15/27 interface=ether1 network=81.21.12.0
Добавление DNS серверов
Настройка находится в IP→DNS
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
Добавление статического маршрута(шлюз по умолчанию)
Настройка находится в IP→Routes
- Dst. Address = 0.0.0.0/0 – типичное обозначение для любого трафика. Таким значением в MikroTik необходимо определять интернет трафик;
- Gateway – это шлюз по умолчанию со стороны интернет провайдера, который подключен к роутеру MikroTik.
/ip route add distance=1 gateway=81.21.12.1 dst-address=0.0.0.0/0
Настройка PPPoE в MikroTik
PPPoE сохраняет свою популярность при настройке интернета на роутере MikroTik. Значения User и Password выдаются исключительно интернет провайдером при составлении договора на предоставление услуги.
Настройка находится в PPP→Interface
- Interfaces – интерфейс роутера MikroTik, на котором подключен интернет;
- User, Password – параметры для подключения интернета, выдаются провайдером;
- Use peer DNS – использовать DNS сервера выданные интернет провайдером.
В случае успешного соединения, на PPPoE интерфейсе будет определен статус RUN.
/interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=\ pppoe-out1 password=PASSWORD use-peer-dns=yes user=USER
Создать Interface List WAN
По аналогии с ранее созданным Interfaces List LAN будет создан Interfaces List WAN, для удобства описания Firewall и NAT.
Настройка находится в Interfaces→Interfaces List→List
Добавить интернет интерфейс в Interface List WAN
Настройка находится в Interfaces→Interfaces List
Настройка MikroTik NAT
NAT это механизм, который позволяет преобразовывать IP адреса для транзитных пакетов. Именно NAT является основной настройкой, которая обычное устройство MikroTik преобразовывает в роутер.
Настройка находится в IP→Firewall→NAT
Masquerade это основное правило NAT для работы интернета на роутере MikroTik.
правило для работы интернета
/ip firewall nat add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN
Если у интернет соединения выделенный IP адрес, то рекомендуется установить:
- Action = src-nat;
- To Addresses = Внешний_IP_Адрес.
Настройка WiFi на роутере MikroTik
Рассмотрим ситуацию, когда у роутера MikroTik имеется два WiFi модуля 2.4ГГц и 5ГГц. Такая конфигурация позволит одновременно работать в двух разных диапазонах. Для их включения нужно последовательно настроить каждый из них.
Первым делом нужно настроить конфигурацию безопасности. Если локальная сеть не содержит гостевой сети, можно отредактировать конфигурацию по умолчанию.
Настройка пароля для WiFi в MikroTik
Настройка находится в Wireless→Security Profiles
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \ group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \ wpa2-pre-shared-key=12345678
Настройка WiFi на частоте 2,4ГГц
Роутер MikroTik не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разных антеннах и в разных частотных диапазонах.
Настройки находятся Wireless→WiFi Interfaces
- Frequency = auto – частота для 2.4ГГц будет выбираться автоматически. Это оптимальный вариант для применения без изучения частотных каналов;
- Country = no_country_set – WiFi модуль MikroTik не будут использовать ни каких ограничений по выбору частоты, а также мощности сигнала. Это важно применять в тех средах, где уровень сигнала слабый.
/interface wireless set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\ 20/40mhz-Ce country=no_country_set disabled=no frequency=auto \ frequency-mode=manual-txpower mode=ap-bridge security-profile=default \ ssid=Mikrorik station-roaming=enabled wireless-protocol=802.11
Настройка WiFi на частоте 5ГГц
Настройки находятся Wireless→WiFi Interfaces
- Frequency = auto – частота для 5ГГц будет выбираться автоматически;
- Country = no_country_set – WiFi модуль MikroTik не будут использовать ни каких ограничений по выбору частоты, а также мощности сигнала.
/interface wireless set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac \ channel-width=20/40/80mhz-Ceee country=no_country_set disabled=no \ frequency=auto frequency-mode=manual-txpower mode=ap-bridge \ security-profile=default ssid=Mikrotik station-roaming=enabled \ wireless-protocol=802.11
Важно принимать факт нахождения WiFi интерфейса в составе bridge, без этой настройки WiFi клиенты не смогут получит IP адрес(dhcp сервер настроен на bridge), взаимодействовать с локальной сетью и будут ограничены доступом в интернет.
Проброс портов(port forwarding) в роутере MikroTik
Проброс портов это популярная функция любого роутера MikroTik, которая обеспечивает удаленный доступ к локальному ресурсу: VPN серверу, видеорегистратору, web сайту и тд. Для настройки проброса порта в роутере MikroTik следует добавить правило:
Настройка находится в IP→Firewall→NAT
- Цепочка dstnat – весь входящий трафик;
- To Ports – можно не заполнять, если их значения совпадают с Dst. Port.
В данном примере рассмотрен проброс портов http и https для web сервера, который находится в локальной сети.
/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 dst-port=80,443 \ in-interface=ether1 protocol=tcp to-addresses=192.168.0.2
Настройка Mikrotik FireWall
Firewall в роутере MikroTik является одним из самых важных компонентов. Неправильно настроенный Firewall может привести к ограниченному доступу к роутеру MikroTik, а его отсутствие поставит под угрозу всю сетевую инфраструктуру.
Firewall в оборудовании MikroTik работает по принципу сверху вниз. Обрабатываемый пакет сравнивается с каждым правилом(Firewall Rule) и если не попадает под условия правила, то достигает конца Firewall и обрабатывается принципом “что не запрещено, то разрешено” . В этой схеме важно учитывать, что если Firewall на роутере MikroTik не будет содержать правил запрета(Action = drop), такой роутер будет открыт(уязвим) из интернета.
Типичные ошибки при настройки Firewall на роутере MikroTik:
- Отсутствуют или выключены правила запрета(Action = drop);
- Firewall Rules совсем пустой.
В примере настроек Firewall Rules рассмотрена авторская схема, которая будет состоять из правил разрешений(Action = accept) и правил запретов(Action = drop), основным преимуществом которой – производительность роутера MikroTik.
Список всех правил Firewall
- Правила 0 -1: это самые важные правила из категории быстродействия роутера MikroTik, в контексте настройки Firewall. Они означают то, что если пакет получил одобрение, то его повторно обрабатывать не нужно;
- Правила 2 -3: любые направления для локальных подключений разрешены. Это вторая составляющая списка правил быстродействия;
- Правило 4: разрешить отвечать роутеру MikroTik на ICMP запросы(ping) из интернета;
- Правило 5: запрет подключения к роутеру MikroTik из интернета;
- Правило 6: удалять все пакеты из интернета, кроме тех, которые являются пробросами портов. Т.е. если нужно добавить проброс портов, то дополнительно ни каких правил разрешений не нужно. И если порт проброшен, значит его проброс совершён в ручном режиме, что автоматически воспринимается Firewall как доверительное правило;
- Правила 7 -8: пакеты, которые считаются поломанными(invalid), будут удалены.
Будут применяться Chain(цепочки):
- Chain = input – цепочка входящего движения пакетов;
- Chain = forward – цепочка проходящего движения пакетов, т.е. тех, которые следуют через MikroTik.
Настройка находится в IP→Firewall
Разрешение для уже установленных соединений
/ip firewall filter add action=accept chain=forward connection-state=established,related
/ip firewall filter add action=accept chain=input connection-state=established,related
Доверительные правила для локальной сети
/ip firewall filter add action=accept chain=forward in-interface-list=LAN
/ip firewall filter add action=accept chain=input in-interface-list=LAN
Разрешить ICMP запросы с WAN интерфейсов
/ip firewall filter add action=accept chain=input protocol=icmp in-interface-list=WAN
Удалить все входящие пакеты с WAN интерфейсов
/ip firewall filter add action=drop chain=input in-interface-list=WAN
Удалить все проходящие пакеты с WAN, кроме пробросов портов
/ip firewall filter add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN
Удалить все пакеты в состоянии invalid
/ip firewall filter add action=drop chain=input connection-state=invalid
/ip firewall filter add action=drop chain=forward connection-state=invalid
С расширенной версией по настройке Firewall в роутере MikroTik можно ознакомиться в статье Настройка Firewall в MikroTik, защита от DDOS атаки.
Сброс MikroTik до заводских настроек, hard reset
Если по каким-то причинам необходимо сбросить роутер MikroTik до заводских настроек, это можно выполнить двумя методами:
Reset через Winbox
Настройка находится в System→Reset Configuration
/system reset-configuration
Reset через кнопку RESET
На задней панели расположена кнопка RESET
Необходимо последовательно совершить действия:
После сброса роутера MikroTik, доступ к его настройкам будет осуществляться со стандартным именем пользователя admin и без пароля.
Привет, а меню на русском нет в роутере?
MikroTik лучше всего настраивать через Winbox, а он полностью на английском языке. Если сложности с переводом – пользуйтесь google переводчиком. А в версии Webfig можно применить перевод сайта на русский. Но рекомендую все же разобраться с понятиями и терминами, дальше станет легче настраивать эти Микротики
Очень объемная статья, с первого захода такие настройки тяжело “переварить”. Но когда начинаешь вникать в техническую составляющую, Микротик становится чем-то больше чем просто роутер.
Не получается пробросить порт для видеорегистратора
Настраивал все после инструкции, но wifi теряет сигнал, плохо ловит в дальних точках квартиры. Может поставить какой-то усилитель? У вас можно проконсультировать по работам по Запорожью?
Мы проводим настройку MikroTik по всем городам Украины! Обратитесь на контактные телефоны или заполните форму обратной связи —> Сделать запрос
Всего 2 дня и мой MikroTik Hap ac2 заработал как нужно. С настройками справился с помощью 8-ми чашек кофе. Разработчикам привет, а автору спасибо!!
Подскажите как настроить точку доступа MikroTik в режиме моста(WDS)
Это универсальная настройка и подходит для всех роутеров MikroTik? У меня MikroTik RB2011UiAS-2HnD-IN и есть острая проблема в скорости по проводу, на одном роутере 100Мб, а на Микротике всего 20Мб. Микротик режит скорость?
Взломали роутер MikroTik, что делать? Только сбрасывать или можно как-то настроить?
если взломали то лучше прошить заново через netinstall
Бытует поверье – если сменить пароль на отвечающий критериям сложности, то “взлом” весьма затрудняется…
Подскажите как настроить микротик с LTE модемом. Нужно все тоже самое, только вместо обычного интернета будет мобильный
Купил новый роутер MikroTik hAp ac2, а на нём WiFi то для iphone, то для android не работает. Продавец два дня что-то настраивает, это вообще нормально или у них кривые руки?
Обратите внимание на поддержку одновременной работы двух диапазонов WiFi в покупаемой модели …
ps: продавцы судя по всему просто не знают про подобные тонкости.
Включили роутер Микротик с коробки, ни чего не настраивали. Он и так работает, НО не работает Яндекс сервисы такие как Алиса. Это проблема микротика или глубже?
Неплохой вариант настройки роутера. Становится более понятным принципы работы MikroTik
А сколько будет стоить перенести такую настройка на мой роутер MikroTik? Уже нет сил с ним бороться
Немножко становится понятным, как работает роутер Микротик. Но не все настройки даются с первого раза. Раньше с машиной проводил время. теперь с роутером))
Я тоже сменил работу из-за операций. Теперь тоже провожу время с роутерами весело и плакать хочется
Нужно настроить MikroTik hap ac3, такая конфигурация подойдёт или у меня слишком новый роутер?
я себе такой взял. Настроек из коробки практически хватает. Только поменял порт WAN c ether1 на ether2, поскольку ether1 является портом poe-in, а в планах есть перенести “коробочку” повыше
так на порт ether1 и настраивайте. Просто по нему потом через инжектор питание пойдет. Питание и сигнал идут по одному проводу :-).
Пошаговая инструкция по настройке MikroTik слишком сложная. Я воспользовался встроенным мастером настройки Quick Set и могу сказать, что мой роутер MikroTik работает просто отлично! Интернет не тормозит, забыл о слабом сигнале wifi, а главное, мой iphone не теряет связь с wifi!
Добрий день! На роутере Микротик включена точка доступа. После изменения пароля в security profile пароль не обновился и устройства подключаются по старому паролю. как принудительно обновить пароль (точка доступа не под CapsMan)
Спасибо
Самый просто способ – перезагрузить устройство. Но можно и:
выключить\включить интерфейс wlan
сбросить все подключения в таблице регистрации
Добрый день!
Пришлось менять роутер, т.к. предыдущий Microtik накрылся. Бросок питания. И вылетел не брок питания, а сам роутер. Не сбрасывается в заводские настройки и не обнуляется даже через аппаратный сброс. Естественно не запускается и доступа к нему нет.
Поменял на такой же. Старой прошивки к сожалению не сохранил (наука на будущее!!!).
Все настроил, включая туннель к другой сети.
Но вот проблемка – компьютеры не видят друг друга в сети. При этом все пингуется, в том числе компьютеры в сети через туннель.
Подскажите, в чем может быть причина и как это побороть….
Заранее благодарен.
Не видят, но пингуются это как? Если именно так – то ваш случай индивидуальный и в нём нужно разбираться. Если работу VPN настроить самостоятельно не получится, обращайтесь в тех. поддержку MikroTIk→
windows 7? новый роутер обновил сетевые настройки на компах с 7 и сеть там стала “Общественной”, где по умолчанию закрыты сетевые ресурсы. Решение в настройках общего доступа либо смене типа сети на “Рабочую” с дальнейшей перезагрузкой.
Как самостоятельно поменять имя сети и установить пароль?
Изменить имя wifi сети(ssid) Winbox→Wireless→WiFi Interfaces→wlan1→SSID
Изменит пароль wifi сети(ssid) Winbox→Wireless→Security Profiles→WPA2 Pre-Shared Key
ссылка для настройки →
Здравствуйте, подскажите, пожалуйста: поменял тариф на 200 МБит/с, на одном порту поменялось значение “Rate” на 1 Gbps, а на другом осталось 100 Mbit. Когда убираю галку с “Auto Negotiation” и вручную ставлю 1 Gbit, то комп перестает видеть роутер по данному порту.
Роутер Mikrotik Hex Poe
У вас на порту автосогласование, т.е. когда на другом конце также будет поддержка 1Гб, то порт об этом отсигнализирует. В этом случае нужно проверить и удаленный порт и сам кабель.
Ваше описание это типичное поведение порта.
Ударила молния и сгорели порты 1,3,4,5.
Как сделать главным другой порт вместо Ethrnet 1??
У каждого типа подключения: pppoe, static ip, dhcp client в параметрах присутствует выбор интерфейса. Этим значение вы можете манипулировать на свой лад. Также необходимо контролировать разделы:
1. Interfaces→Interace List
2. Ip→Firewall→Filter Rules
3. Ip→Firewall→NAT
на наличие обновленных параметров вашего WAN интерфейса.
Доброго здоров’ячка!
Таке запитання. Роутер налаштовано . Все працює . Але . При намаганні зайти з телефону ( а з компа не пробував – далеко за ним йти) – не заходить на Приват24 та на нову пошту . В другому варіанті пише – немає зв’язку, в першому ( приват) – дуже довго висить відкривання додатку Приват24. Є якісь нюанси ? В який бік копати ? ( Щось так думаю – десь у фаєрволі щось не альо) .
Для чего нужна функция ip cloud
При активации данной функции по sn.mynetname.net в Микротик не зайдешь?
Как сделать чтобы она работала?
В этой инструкции “Настройка MikroTik Cloud, собственный DDNS” есть описание тех. части, а в комментариях ответы на интересующие вопросы.
Нам нужно подключить 15 компьютеров, назначить каждому свои 8 портов (TCP vs UDP) и распределить каждому скорость 50мб/c. Какой управляемый маршрутизатор нам подойдет?
Мне нужна была настройка MikroTik и её получил(+ wifi для 5ггц теперь тоже настроено)
Дякую, користний матеріал для більшості користувачів, але маю декілько пропозицій, що до його покращення.
1) Оновлення до 7 версії вже має бути рекомендоване.
2) Включення Fast Forwarding на інтерфейсі bridge має збільшити продуктивність, якщо не потрібна фільтрація кожного пакету.
3) В налаштуваннях дозволу віддаленного доступу до DNS сервісу потрібно дати коменар, що до його обов`язкового захисту із зовні, як і інших вбудованих сервісів як SSH.
4) Не зрозуміло чому в налаштуваннях профілю безпеки бездротової мережі вказано Management protection disabled, замість allowed. Окрім цього більшість рекомендацій безпеки радять не використовувати дефолтні профілі безпеки та створювати їх кастомні копії.
5) В налаштуваннях інтерфейсів бездротової мережі не акцентована увага на вибір Wireless protocol – 802.11, Frequency mode – regulatory-domain, Country – Ukraine бо це є регульвано законодавством країни, Installation -indoor, WMM support – enable. Також на вкладенці Advanced: Distance – indoor, Hw. Protection mode – rts cts, Hw. Protection threshold – 0, Adaptive noise immunity – ap and client mode
Большое спасибо. Статья очень помогла.
Щиро Дякую. Стаття дуже допомогла.
Доброго дня.
Налаштував на мікротік мережу вай-фай на основі СapsMan. Девайси підключаються нормально все працює, але не можу підключити до вай-фай принтер epson L3151. Підключається через раз і постійно втрачається зв’язок з принтером. У документації до принтера сказано що потрібно перевірити і відключити функцію розділювач конфіденційності. Де її можна знайти у налаштуваннях роутера і як вона називається у мікротік. Модель роутера Мікротік HAP AC Lite, точка доступу сAP lite
Маю точку доступу wap r, використовую її як репітер. Проблема втому, що коли зникає мастер точка wifi (та з якої беру інет) то й на моїй ТД зникає wifi(як саме підключенняв списку доступних), мається на увазі, не знаходить саме підключення. Тобто при бажанні підключитись до іншого wifi(master wifi) треба демонтувати точку, брати кабель ноут і так.
Питання, в тому як залиши незалежний канал wifi для обслуговування?
В инструкции Настройка репитера MikroTik рассмотрен случай, когда у точки доступа WiFi имеется отдельный интерфейс для раздачи WiFi, хотя в вашем описании могу быть нюансы…
Доброго дня. Стикнувся з проблемою на девайсах RB952Ui-5ac2nD 7.7 (stable) не працює wi-fi на жодному з конфігів, в логах пише
wlan1: attempts to associate
wlan1: not in local ACL, by default accept
wlan1: connected, signal strength -38
wlan1: disconnected, unicast key exchange timeout, signal strength -37
Настройка Интернета на роутере MikroTik
Для настройки интернета на роутере MikroTik нужно совершить два действия:
определить тип подключения на определенном порту(куда вставлен провайдер);
активировать функцию NAT (masquerade).
не могу найти где именно надо активировать функцию NAT (masquerade).
Ниже по тексту(это ближайшая ссылка) как раз рассматривается эта настройка.
Доброго дня!
hap ac lite. після хард ресету через фізичну кнопки не запускається wifi для налаштування через андроід додаток.
якщо підключитись через winbox за допомогою кабелю, то додаток закривається десь через 5-6 секунд після авторизації, останне що бачу діалогове вікно:
RouterOS Default Configuration
The following default configuration has been installed on your router:
CAP configuration
Wireless interfaces are set to be managed by CAPSMAN.
All ethernet interfaces and CAPSMAN managed interfaces are bridged. DHCP client is set on bridge interface.
You can click on “Show Script” to see the exact commands that are used to add and remove this default configuration. To remove this default configuration click on “Remove Configuration” or click on “OK” to continue.
NOTE: If you are connected using the above IP and you remove it, you will be disconnected.
Вечір добрий , адміни !
Підкажіть будь-ласка де шукати налаштування. Придбав на заміну вмерлого роутера MikroTik hEX (RB750Gr3). По оптоволокну мені від провайдера заходить 200 Мбіт , що тест показував коли налаштовував pppoe підключення роутера і ноут був підключений кабелем до порту Ethernet.
Але коли зібрав всю домашню мережу ( дві точки доступу Ubiquiti по кабелю ы два телевізори по кабелю ) то що вайфай , що телевізор дає максимальну швидкість 95 Мбіт. Розумію що коли все вимкнено і працює лише один девайс, то мало би видавати на один порт максимум
Как правило настройки не режут скорость до 100мб. Можно предположить варианты:
– у вас на входе 100мб
– после роутера стоит коммутатор 100мб(или все патч корды по 4жилы)
На вході 100 процентів – 200 МБіт .
Я правильно розумію , що налаштування не ріжуть і треба перевіряти обжимку кабелів ?
На вайфай точки доступу в мене подається живлення через мережевий кабель також.
Але ж на телевізори мало би показати 200
Дякую за уточнення стосовно налаштувань
Почему не добавляются новый польватель и не удаляются старый логин и пароль , не хочу сбрасывать на микротик
Вот сколько оборудования не настраивал, Микротик даётся сложнее всего. Хотя WiFi у него работает хорошо и VPN
Нашёл ответы по настройке MikroTik, спасибо автору
Доброго дня. підкажіть при підключенні по vpn l2tp, основний інтернет відключається і переключає через vpn. що можна зробити??
Нужно отключить использование VPN интерфейса как шлюза по умолчанию и добавить статический маршрут к сети, которая за VPN сервером
Добрый день , столкнулся с проблемой на точке доступа wAP в интерфейсе WIFI нет ни чего а при попытке добавить ни чего не происходит , так же не горит лампочка 2Ghz , подскажите в чём может быть проблема !
Доброго времени. После обновления 7.16 отваливается IPTV каждые 5 мин. Подскажите как настроить